3.3.1 インバウンドルールとアウトバウンドルール

パケットフィルタリングの基本的なしくみとして始めにインバウンドルールとアウトバウンドルールについて説明します。

インバウンドとはファイアウォールなどに守られた領域に、外からデータが入ってくることを指します。一方のアウトバウンドは、その守られた領域から外にデータが出ていくことを指します(下図)。

パケットフィルタリングのルールを定義する際は、インバウンドおよびアウトバウンドにおけるデータ(パケット)を通過させるルールを決定する方法が一般的です。ネットワークACLの設定内容を例にインバウンドルールおよびアウトバウンドルールの設定について見てみましょう。

下はネットワークACLのインバウンドルールにHTTP通信を許可する設定を追加したものです。

1行目のルールでHTTP通信を許可しています。HTTPプロトコル(①)に対し、すべて(0.0.0.0/0)の送信元(②)からの通信を許可(ALLOW)(③)しています。一方、HTTP通信は外から入ってきたリクエストに対し、レスポンスが必要です。したがって、アウトバウンドルールにレスポンスのパケットも通過させる設定が必要となります。下はネットワークACLでその設定を行ったものです。

①は送信先のポート番号です。HTTPレスポンスのポート番号では、1024~65535(※1)のいずれかが使われる可能性があるのでアウトバウンドルールは上記のように設定しています。

(※1)特定のプロトコルが割り当てられていないポート番号の範囲で、各アプリケーションが自由に利用することができます。ブラウザはHTTPリクエストを送信する際、送信元ポート番号としてこれらの番号のいずれかを指定してリクエスト送信するため、レスポンスの送信先ポート番号にもこれらのいずれかが設定されます。